Privacyverklaring

Versie 2.0 | Maart 2026 | AVG/GDPR-compliant

Deze privacyverklaring beschrijft op transparante wijze hoe Fidelis Sales BV persoonsgegevens verzamelt, verwerkt en beschermt, in volledige overeenstemming met de Algemene Verordening Gegevensbescherming (AVG/GDPR, EU 2016/679), de Nederlandse Uitvoeringswet AVG (UAVG), de ePrivacy-richtlijn en waar van toepassing de EU AI Act (Verordening 2024/1689).

Wij hechten grote waarde aan de privacy van onze relaties. Deze verklaring is van toepassing op alle verwerkingsactiviteiten van Fidelis Sales BV, inclusief de AI-ondersteunde intake- en validatiediensten die wij uitvoeren als verwerker namens onze opdrachtgevers.

1. Verwerkingsverantwoordelijke (AVG art. 4 lid 7 & art. 13)

De verwerkingsverantwoordelijke voor de in deze verklaring beschreven verwerkingen door Fidelis Sales BV als zelfstandige verantwoordelijke is:

Fidelis Sales BV
Anthonetta Kuijlstraat 49B
3066 GS Rotterdam
KvK-nummer: 97970824
E-mail privacyzaken: privacy@fidelissales.nl
Telefoon: +31 6 51 000 530
Website: www.fidelissales.nl

Functionaris voor Gegevensbescherming (FG/DPO):
Indien wettelijk verplicht of vrijwillig aangesteld, is onze FG/DPO bereikbaar via privacy@fidelissales.nl. Vermeld in uw bericht 'ter attentie van de FG'.

2. Onze rol: verwerker namens opdrachtgevers (AVG art. 28)

Naast onze eigen verwerkingen treedt Fidelis Sales BV op als verwerker in de zin van AVG art. 4 lid 8 voor haar opdrachtgevers. In deze hoedanigheid verwerken wij persoonsgegevens uitsluitend:

  • op basis van schriftelijke instructies van de verwerkingsverantwoordelijke (de opdrachtgever);
  • voor de overeengekomen, specifiek omschreven doeleinden;
  • zonder de data voor eigen doeleinden te hergebruiken (geen AI-training, geen marketing voor eigen rekening, geen profiling buiten de opdracht).

Met elke opdrachtgever sluiten wij een schriftelijke verwerkersovereenkomst (DPA) conform AVG art. 28, waarin minimaal de volgende onderwerpen zijn geregeld:

  • het onderwerp, de duur en de aard van de verwerking;
  • de categorieën persoonsgegevens en betrokkenen;
  • de rechten en verplichtingen van de verwerkingsverantwoordelijke;
  • beveiligingsmaatregelen (AVG art. 32);
  • inzet van subverwerkers (zie artikel 7);
  • bijstand bij datalekken, DPIA's en betrokkenenrechten;
  • retentie en verwijdering van gegevens na afloop van de opdracht;
  • controlerechten en auditrechten van de opdrachtgever.

Huidige verwerkersrelaties:

  • Fidelis treedt op als verwerker voor AI-ondersteunde intake, validatie en operationele routing van leads voor collectieve rechtszaken, uitsluitend op basis van gedocumenteerde instructies van de betreffende opdrachtgever.
  • Fidelis kan optreden als subverwerker voor CRM-gerelateerde verwerkingen, conform een afzonderlijke subverwerkersovereenkomst.

Belangrijk: Fidelis Sales BV bepaalt bij verwerking als verwerker NIET zelfstandig het doel of de middelen van de verwerking. Indien dit wel het geval zou zijn, is Fidelis op die verwerking zelfstandig verwerkingsverantwoordelijke (AVG art. 28 lid 10). Wij streven ernaar dit te voorkomen door heldere, schriftelijke instructies overeen te komen met onze opdrachtgevers.

3. Grondslagen voor verwerking (AVG art. 6 & art. 9)

Fidelis Sales BV verwerkt persoonsgegevens uitsluitend op basis van een geldige rechtsgrond:

Grondslag (AVG art. 6)Toepassingssituatie
Toestemming (art. 6 lid 1 sub a)Nieuwsbrief, marketingcookies, gegevensuitwisseling met zelfstandige derden. Toestemming is altijd specifiek, geïnformeerd, ondubbelzinnig en intrekbaar.
Uitvoering overeenkomst (art. 6 lid 1 sub b)Verwerkingen noodzakelijk voor de uitvoering van onze dienstverlening aan opdrachtgevers of klanten.
Wettelijke verplichting (art. 6 lid 1 sub c)Fiscale bewaarplicht, meldplicht datalekken, inlichtingen aan bevoegde autoriteiten.
Gerechtvaardigd belang (art. 6 lid 1 sub f)Beveiliging, fraudepreventie, interne bedrijfsadministratie. Wij voeren altijd een belangenafweging uit en documenteren deze.

Wij verwerken in beginsel geen bijzondere categorieën persoonsgegevens (art. 9 AVG) tenzij een uitdrukkelijke uitzondering van toepassing is. In dat geval wordt de betreffende uitzondering gedocumenteerd en worden extra beveiligingsmaatregelen getroffen.

4. Welke persoonsgegevens verwerken wij (AVG art. 13 & 14)

4.1 Als zelfstandig verwerkingsverantwoordelijke

Bij gebruik van onze website, contactformulieren of dienstverlening kunnen wij de volgende gegevens verzamelen:

  • Identificatiegegevens: voornaam, achternaam
  • Contactgegevens: e-mailadres, telefoonnummer, (bedrijfs)adres
  • Bedrijfsgegevens: bedrijfsnaam, KvK-nummer, functietitel
  • Communicatiegeschiedenis en correspondentie
  • Contractuele en financiële gegevens voor facturering
  • Technische metadata: IP-adres (geanonimiseerd waar mogelijk), browsertype, sessieduur, bezochte pagina's

4.2 Als verwerker namens opdrachtgevers (intake leads)

In het kader van onze verwerkersrol voor opdrachtgevers verwerken wij uitsluitend de categorieën persoonsgegevens die zijn omschreven in de toepasselijke verwerkersovereenkomst. Voor de uitvoering van intakeopdrachten betreft dit doorgaans:

  • Identificatiegegevens: voornaam, achternaam
  • Contactgegevens: e-mailadres, telefoonnummer
  • Campagne-identificatoren en registratiestatus
  • Toestemmings- en akkoordindicatoren
  • Technische metadata: timestamps, routeringsstatus

Wij verwerken als verwerker geen aanvullende gegevens zonder schriftelijke instructie van de opdrachtgever en geen externe verrijking (bijv. social media monitoring) tenzij de opdrachtgever hiervoor een geldige grondslag en expliciete instructie heeft verstrekt.

4.3 Bronnen van persoonsgegevens (AVG art. 14 lid 2 sub f)

Wanneer wij persoonsgegevens niet rechtstreeks van u ontvangen, zijn deze afkomstig van opdrachtgevers die deze gegevens hebben verzameld via hun eigen registratieproces, waarbij betrokkenen vooraf zijn geïnformeerd en waar vereist toestemming hebben verleend. Wij verwerken uitsluitend de gegevens die onze opdrachtgever ons op basis van een schriftelijke instructie aanlevert. Wij verzamelen geen aanvullende gegevens uit andere bronnen zonder expliciete, gedocumenteerde instructie en een geldige rechtsgrond.

5. Doeleinden van de verwerking (AVG art. 5 lid 1 sub b)

5.1 Als zelfstandig verwerkingsverantwoordelijke

  • Uitvoering van dienstverlening en contractbeheer
  • Communicatie en klantenservice
  • Facturering en administratie
  • Verbetering van onze website en gebruikerservaring
  • Nieuwsbrief en marketingcommunicatie (uitsluitend met expliciete toestemming)
  • Fraudepreventie, veiligheid en naleving van wettelijke verplichtingen

5.2 Als verwerker namens opdrachtgevers

  • Geautomatiseerde en semi-geautomatiseerde intake en operationele verwerking van nieuwe leads voor collectieve rechtszaken
  • Validatie of leads voldoen aan de basisvereisten voor bestaande claims
  • Efficiënte documentverzameling, -structurering en kwaliteitscontrole
  • Routing van gevalideerde dossiers naar de juiste operationele of juridische opvolging
  • Vermindering van handmatige werkzaamheden en foutmarges bij grootschalige intakeprocessen

Wij gebruiken gegevens nooit voor andere doeleinden dan hierboven of in de verwerkersovereenkomst vermeld. Uitbreiding van doeleinden vereist een nieuwe juridische grondslag, bijgewerkte transparantie en waar vereist een nieuwe of bijgewerkte DPIA.

6. AI-ondersteunde verwerking en geautomatiseerde besluitvorming (AVG art. 22 & EU AI Act)

Fidelis Sales BV maakt gebruik van AI-ondersteunde systemen voor de volgende operationele taken:

  • Classificatie en routing van leads op basis van objectieve criteria (land, taalgroep, claimtype, registratiestatus)
  • Technische validatie van formuliergegevens (volledigheid, consistentie)
  • Operationele CRM-registratie en logging

Transparantie over AI-logica:
Onze AI-systemen nemen geen definitieve juridische of materieel nadelige beslissingen zonder menselijk toezicht. Classificatie-uitkomsten worden ter review voorgelegd aan bevoegde medewerkers. Betrokkenen kunnen de beoordeling laten herzien door contact op te nemen via privacy@fidelissales.nl.

Wij passen geen AI-training toe op historische deelnemersdata van opdrachtgevers zonder expliciete, gedocumenteerde instructie en een afzonderlijke DPIA. Evenmin voeren wij externe gegevensverrijking uit (bijv. social media-monitoring) zonder expliciete grondslag.

EU AI Act compliance:
De door ons ingezette AI-systemen worden beoordeeld op risicoclassificatie conform de EU AI Act. Hoog-risico AI-systemen worden geregistreerd en getoetst vóór ingebruikname. Wij zorgen voor traceerbaarheid, logging en menselijk toezicht conform de vereisten van de AI Act.

AI-geletterdheid medewerkers (AI-verordening art. 4 — verplicht sinds 2 februari 2025)
Alle medewerkers en ingehuurde krachten van Fidelis Sales BV die werken met of in aanraking komen met AI-systemen, beschikken over een passend niveau van AI-geletterdheid. Wij zorgen hiervoor door middel van periodieke training over de werking, risico's en beperkingen van de door ons ingezette AI-systemen. Dit wordt gedocumenteerd en intern bijgehouden.

Klachtrecht en toelichting bij AI-besluiten (AI-verordening art. 86)
Naast het recht op menselijke herbeoordeling op grond van AVG art. 22 (zie artikel 11), heeft u op grond van de AI-verordening aanvullende rechten indien een besluit over u mede is gebaseerd op een hoog-risico AI-systeem: (1) het recht een klacht in te dienen bij de bevoegde nationale toezichthouder (in Nederland: de Autoriteit Persoonsgegevens, www.autoriteitpersoonsgegevens.nl); (2) het recht op een duidelijke en begrijpelijke toelichting over de rol van het AI-systeem bij het betreffende besluit. U kunt hiervoor contact opnemen via privacy@fidelissales.nl.

Incidentmelding AI-systemen (AI-verordening art. 73)
Bij ernstige incidenten of onverwacht gedrag van een hoog-risico AI-systeem zoals onjuiste classificaties met materiële gevolgen voor betrokkenen melden wij dit onverwijld aan de aanbieder van het AI-systeem én aan de bevoegde toezichthouder, conform de meldplicht van de AI-verordening. Dit geldt naast en aanvullend op onze datalekprocedure onder de AVG (zie artikel 9). Incidenten worden geregistreerd in ons interne incidentregister.

7. Inzet van subverwerkers en derden (AVG art. 28 lid 2 & 4)

Fidelis Sales BV schakelt subverwerkers in uitsluitend na schriftelijke toestemming van de betreffende opdrachtgever (specifiek of generiek vooraf). Wij leggen aan subverwerkers dezelfde verplichtingen op als die welke op ons van toepassing zijn krachtens de verwerkersovereenkomst met de opdrachtgever (AVG art. 28 lid 4).

Bij wijziging van subverwerkers informeren wij de opdrachtgever tijdig, zodat deze bezwaar kan maken. Wij blijven jegens de opdrachtgever volledig aansprakelijk voor nakoming door onze subverwerkers.

Gegevensoverdracht buiten de EER:
Doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER) vindt uitsluitend plaats op basis van passende waarborgen conform Hoofdstuk V AVG, zoals:

  • Adequaatheidsbesluit van de Europese Commissie (art. 45 AVG)
  • Standaardcontractbepalingen (SCC's) van de Europese Commissie (art. 46 AVG), vergezeld van een Transfer Impact Assessment (TIA)
  • Aanvullende technische en organisatorische maatregelen waar nodig (versleuteling, pseudonimisering, toegangscontroles)

Vóór ingebruikname van nieuwe verwerkingsomgevingen met mogelijke derde-landenoverdrachten documenteren wij alle relevante datastromen en treffen wij de vereiste waarborgen.

8. Cookies en trackingmiddelen (ePrivacy-richtlijn & AVG art. 6)

Onze website maakt gebruik van cookies. Wij onderscheiden de volgende categorieën:

CookietypeToelichting & grondslag
Functionele cookiesNoodzakelijk voor de werking van de website. Geen toestemming vereist (ePrivacy art. 5 lid 3 uitzondering).
Analytische cookies (geanonimiseerd)Voor inzicht in websitegebruik. Geen persoonlijk profiel. Lichte toestemming of gerechtvaardigd belang.
Marketingcookies (incl. third-party pixels)Voor gepersonaliseerde advertenties en retargeting. Expliciete opt-in toestemming vereist vóór plaatsing. Cookies van derden (bijv. sociale media) worden alleen geplaatst na uw toestemming.

U kunt uw cookievoorkeuren beheren via onze cookiebanner of uw browserinstellingen. Bij het weigeren of intrekken van niet-functionele cookies blijft de basiswerking van onze website beschikbaar. Wij plaatsen geen third-party trackingcookies zonder uw voorafgaande, expliciete toestemming.

9. Beveiliging van persoonsgegevens (AVG art. 32)

Fidelis Sales BV neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen, afgestemd op het risico van de verwerking. Onze maatregelen omvatten onder meer:

Technische maatregelen:

  • Versleuteling van gegevens in rust (AES-256) en tijdens transport (TLS 1.2+)
  • Role-Based Access Control (RBAC) en Multi-Factor Authenticatie (MFA) voor alle systemen
  • Netwerksegmentatie ter isolatie van gevoelige data
  • Continue security monitoring: geautomatiseerde bewaking van onze technische en organisatorische beveiligingsmaatregelen, met real-time signalering van afwijkingen en aantoonbare opvolging van bevindingen
  • Anti-malware en Endpoint Detection & Response (EDR)
  • Logging, monitoring en audit trails van alle datatoegang
  • Geautomatiseerde, versleutelde back-ups op een externe locatie

Organisatorische maatregelen:

  • Verwerkersovereenkomsten met alle derde partijen met toegang tot persoonsgegevens
  • Geheimhoudingsverplichtingen voor medewerkers en ingehuurde krachten
  • Periodieke GDPR-bewustzijnstraining voor medewerkers
  • Gedocumenteerd incidentresponsplan
  • Fysieke toegangsbeveiliging van serverruimten en werkplekken

Bij een inbreuk in verband met persoonsgegevens (datalek) die waarschijnlijk risico's oplevert voor de rechten en vrijheden van betrokkenen:

  • Melden wij dit binnen 72 uur aan de Autoriteit Persoonsgegevens (AVG art. 33)
  • Informeren wij betrokkenen onverwijld indien het een hoog risico betreft (AVG art. 34)
  • Documenteren wij het incident conform AVG art. 33 lid 5 in ons interne datalekregister
  • Informeren wij onze opdrachtgever (verwerkingsverantwoordelijke) zo snel mogelijk na ontdekking, zodat deze aan zijn meldplicht kan voldoen

10. Bewaartermijnen (AVG art. 5 lid 1 sub e)

Wij bewaren persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor zij zijn verzameld, of zolang als wettelijk vereist:

Categorie gegevensBewaartermijn
Klant- en contractgegevens7 jaar na einde overeenkomst (fiscale bewaarplicht Boek 2 BW)
Leadgegevens (als verwerker namens opdrachtgever)Conform retentiebeleid van de opdrachtgever; maximaal 36 maanden na afsluiting van de relevante procedure, tenzij wettelijk anders vereist
NieuwsbriefabonneesTot uitschrijving of intrekking toestemming
SollicitantengegevensMax. 4 weken na afsluiting procedure, tenzij toestemming voor 1 jaar verleend
WebsiteanalysegegevensMax. 26 maanden (geanonimiseerd na 13 maanden)
Beveiligingslogs en audit trailsMax. 12 maanden, tenzij incident aanleiding geeft tot langere bewaring

Na het verstrijken van de bewaartermijn worden gegevens veilig verwijderd of aantoonbaar geanonimiseerd. Op verzoek van de opdrachtgever kunnen gegevens eerder worden teruggegeven of vernietigd, conform de afspraken in de verwerkersovereenkomst.

11. Uw rechten als betrokkene (AVG art. 15-22)

Op grond van de AVG heeft u de volgende rechten met betrekking tot uw persoonsgegevens:

  • Recht op inzage (art. 15): u kunt opvragen welke gegevens wij van u verwerken, voor welk doel en aan wie deze zijn verstrekt.
  • Recht op rectificatie (art. 16): u kunt onjuiste of onvolledige gegevens laten corrigeren.
  • Recht op gegevenswissing – 'recht op vergetelheid' (art. 17): u kunt verzoeken uw gegevens te verwijderen, tenzij wettelijke bewaarplichten of andere belangen zich daartegen verzetten.
  • Recht op beperking van verwerking (art. 18): u kunt verzoeken de verwerking tijdelijk te bevriezen, bijv. bij een geschil over de juistheid van de gegevens.
  • Recht op dataportabiliteit (art. 20): u kunt uw gegevens in een gestructureerd, gangbaar, machineleesbaar formaat ontvangen, zodat u deze kunt overdragen aan een andere partij.
  • Recht van bezwaar (art. 21): u kunt te allen tijde bezwaar maken tegen verwerking op basis van gerechtvaardigd belang of voor direct marketingdoeleinden.
  • Recht niet onderworpen te worden aan geautomatiseerde besluitvorming (AVG art. 22 & AI-verordening art. 86): u kunt verzoeken om menselijke herbeoordeling van een geautomatiseerde beslissing die u significant treft. Indien het besluit mede is gebaseerd op een hoog-risico AI-systeem, heeft u daarnaast recht op een begrijpelijke toelichting over de rol van dat systeem én het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Hoe uw rechten uitoefenen:
Dien uw verzoek in via privacy@fidelissales.nl. Wij reageren binnen 30 dagen (bij complexe verzoeken verlengbaar met maximaal 2 maanden, met kennisgeving). Wij kunnen u vragen uw identiteit te verifiëren. Verzoeken zijn kosteloos, tenzij sprake is van kennelijk ongegrond of buitensporig gebruik.

Klachtrecht:
Indien u niet tevreden bent met onze reactie, heeft u het recht een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP):

  • Website: www.autoriteitpersoonsgegevens.nl
  • Telefoon: 088-1805 250
  • U kunt ook een klacht indienen bij de toezichthoudende autoriteit van uw EU-lidstaat van verblijf.

12. Data Protection Impact Assessment – DPIA (AVG art. 35)

Voor verwerkingen met een hoog privacyrisico voert Fidelis Sales BV een DPIA uit vóór aanvang van de verwerking, conform AVG artikel 35. Een DPIA is verplicht bij o.a.:

  • Grootschalige verwerking van persoonsgegevens
  • Stelselmatige monitoring van betrokkenen
  • AI-ondersteunde classificatie of besluitvorming
  • Verwerking van bijzondere categorieën persoonsgegevens

Actuele DPIA's:
Voor de AI-ondersteunde leadintake en validatie is een DPIA uitgevoerd. De DPIA-samenvatting is op verzoek beschikbaar.

DPIA-statusAfgerond
ScopeAI-ondersteunde intake, validatie en routing van leads voor collectieve rechtszaken
DPO-oordeelTe verbeteren – maatregelen in uitvoering
VervolgactiesDSA/DPA finaliseren; cookieconsent website implementeren; retentiebeleid documenteren; bewijs van compliance aanleveren

Geen grootschalige verwerking of AI-gestuurde leadintake namens externe partijen vindt plaats totdat de vereiste contractuele en technische maatregelen volledig zijn geïmplementeerd.

13. Register van verwerkingsactiviteiten (AVG art. 30)

Fidelis Sales BV houdt een intern register bij van alle verwerkingsactiviteiten als vereist door AVG art. 30. Dit register bevat per verwerking:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke (en eventuele gezamenlijke verantwoordelijken)
  • Doeleinden van de verwerking
  • Categorieën betrokkenen en persoonsgegevens
  • Categorieën ontvangers
  • Doorgiften naar derde landen en de toepasselijke waarborgen
  • Bewaartermijnen
  • Beschrijving van de technische en organisatorische beveiligingsmaatregelen (art. 32 AVG)

Het verwerkingsregister is beschikbaar voor inzage door de Autoriteit Persoonsgegevens op verzoek. Een samenvatting van de verwerkingsactiviteiten kan op verzoek worden verstrekt aan opdrachtgevers.

14. Naleving, governance en bewijs van compliance

Fidelis Sales BV borgt AVG-naleving via de volgende governance-structuur:

  • Periodieke interne GDPR-audits (minimaal jaarlijks)
  • Externe auditmogelijkheid voor opdrachtgevers conform verwerkersovereenkomsten
  • Verwerkersovereenkomsten met alle subverwerkers conform AVG art. 28
  • Incidentbeheer en datalekprocedure gedocumenteerd en getest
  • DPIA-verplichting geïntegreerd in het onboardingproces voor nieuwe verwerkingen
  • Cookieconsent-mechanisme op de website dat voldoet aan de ePrivacy-richtlijn (geen pre-aangevinkte vakjes, granulaire keuze, eenvoudig intrekken)

Op verzoek van opdrachtgevers verstrekken wij bewijsstukken van onze compliance, waaronder:

  • Overzicht van verwerkingsactiviteiten (art. 30-register, samenvatting)
  • Bewijs van technische en organisatorische beveiligingsmaatregelen
  • Continue security monitoring en compliance automatisering: Fidelis Sales BV maakt gebruik van een geautomatiseerd security- en complianceplatform dat continu onze beveiligingsmaatregelen bewaakt, afwijkingen real-time signaleert en zorgt voor aantoonbare, gedocumenteerde opvolging van bevindingen.
  • DPIA-rapportages voor relevante verwerkingen
  • Getekende verwerkersovereenkomsten en subverwerkersakkoorden

15. Wijzigingen in deze privacyverklaring

Fidelis Sales BV behoudt zich het recht voor deze privacyverklaring te wijzigen bij veranderingen in de bedrijfsvoering, wet- of regelgeving of nieuwe verwerkingsactiviteiten. Materiële wijzigingen worden minimaal 30 dagen van tevoren gecommuniceerd via e-mail aan bekende contactpersonen en via een prominente melding op onze website.

De meest actuele versie van deze privacyverklaring is altijd beschikbaar op onze website: www.fidelissales.nl/privacy.

Versiegeschiedenis:

  • Versie 1.0 – Oktober 2025 – Initieel concept
  • Versie 2.0 – Maart 2026 – Uitgebreid met DPIA-uitkomsten, verwerkersrol, AI-transparantie, subverwerkersbeheer, cookiecompliance en bewijs van compliance